はてなブックマーク

脆弱エンジニアの Advent Calendar 2025 13日目 兼 みすてむずアドカレ1 14日目の記事です。 はじめに 皆さん一度はチェックやレビューを受けて 「これは危ないよ」 と指摘を受けたことがあるのではないでしょうか。 書いたコードのほか、使っているライブラリ、そもそもの設計や仕様の誤り、設定ミスなど、セキュリティの問題というのは様々な要因で起きてしまいます。 一方で要因が様々のため「セキュリティってよくわからん…」という人もよくいるのではないでしょうか。 最近はAIを使ってコードを書くことも増えてきました。 AIモデルの進化によりAI自身が脆弱なコードを書くことが少しずつ減ってきており、 「AIに任せておけば大丈夫だろう…」 と考え、深い理解までは及ばず、レビューで指摘を受けてもとりあえずAIに修正指示を出して終わっていませんか？ 今回紹介する OWASP Top 10:

サイバー攻撃が日々進化する現代社会において、セキュリティエンジニアの役割はますます重要になっています。しかし、「セキュリティエンジニア」という肩書きの下には、実に多様な専門分野と役割が存在します。 200職はものの例えですが、今回その多種多様な仕事を分類化してみました。 もしセキュリティに興味があり、今後セキュリティエンジニアになってみたいと思う方の一助になればと思います。 そもそも「セキュリティ」の仕事とは？ （サイバー）セキュリティの仕事と言われて思い浮かべるものは何でしょうか？ サイバー攻撃が起きたら冷静に解決に導く 開発したプログラムにセキュリティホールがないかチェックする 企業の製品やサービスの脆弱性を見つけて賞金を稼ぐ ハッカーのようにマルウェアや攻撃方法を調査して、次の攻撃に備える 実際に攻撃を仕掛けてみて、システムの防御力をテストする どれも「セキュリティ」の仕事の一部です

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? みすてむず1 アドカレ(4) の4日目の記事です https://adventar.org/calendars/8652 はじめに 煽りタイトルでスミマセン🙇‍♂️ 昨今情報漏洩事故が多発しており、セキュリティの重要性が叫ばれています。 事故原因は様々で、ネットワークやプラットフォームの不備、アプリケーションの脆弱性、人的要因などがあります。 Web開発とは切っても切れないWebアプリケーションセキュリティですが、皆様は 脆弱性の原理を正しく理解していますか？ 脆弱性の名前や、コードを書く際に気を付けなければならないポイントやフレーム

はじめに Azure Advent Calendar 2020 23日目の記事ということで、Azure MonitorとKustoの話を書きます。 本記事はクレジットカードを取り扱うサイトにおいて、悪用を試験的に検知した話になります。 悪用対策のベストプラクティスではなく、Azure Monitorでこんなこともできるよ的な内容になりますので、 その旨ご留意いただければと思います。 また本記事はKusto初学者による試行錯誤が含まれていますので、 同じくこれからKustoにチャレンジされる方はぜひご参考ください。 Kustoに改善点があればご指摘いただけますと幸いです。 背景 有効なクレジットカードの当たり判定に悪用されてしまった… 勤め先はWebシステムのパッケージを持ち、カスタマイズして納品するBtoB企業です。 ECサイトの構築事例も多いのですが、EC案件でクレジットカードを機械的に

図にすると以下のようになります。 Strict 外部サイトからのアクセスではCookieを送らない。 Lax 外部サイトからのアクセスはGETリクエストのときだけCookieを送る。 None 従来通りの動き。 【追記】なおChrome 80以降でSecure属性を付けずSameSite=Noneを指定した場合、set-cookie自体が無効になります。 セキュリティ上の効果 CSRF対策になります。 CSRF (クロスサイト・リクエスト・フォージェリ) とは、 WEBサイトがユーザー本人の意図した動作であることを検証していないためにおこる脆弱です。 たとえば会員の退会ページを https://example.com/mypage/delete/で用意し、 ボタン操作でsubmit=1が送信されて退会処理が実行される仕様の場合、 パラメータが誰でもわかるので、外部に用意された悪意のあるフォ